书城政治公务人员信息安全知识读本
2859500000010

第10章 无线网络的安全

65.什么是无线网络?

自马可尼于1896年发明了无线电报的一个多世纪以来,无线技术的发展为人类带来了移动电话和通信卫星等先进的通信手段。现在,几乎所有类型的信息都可以通过无线的方式发送到世界的各个角落。近年来,更为引人关注的是无线网络技术。所谓无线网络,就是利用无线电波作为信息传输媒介构成的网络系统。

无线网络技术按照通信距离长短,大致可以分为无线个域网(WPAN)、无线局域网(WLAN)、无线城域网(WMAN)和无线广域网(WWAN)四种类型:

WPAN是指通过短距离的无线电,将各种数字通信设备连接起来的无线网络系统。WPAN的代表是一种称为蓝牙(Bluetooth)的短距离无线网络。在一定的覆盖范围内,通过蓝牙技术可以将数码相机、个人数字助理(PDA)、打印机等设备以无线的方式连接到个人计算机上,如图7.1所示。

WLAN用于局域系统中,作为有线局域网的延伸,将计算机、笔记本电脑、掌中电脑、投影机等连接到网络中。在WLAN中,每台计算机都有一个无线网卡,通过这个无线网卡,可以与网络中一个称为接入点(AP)的设备进行通信,如图7.2所示。在小型办公室和家庭环境中,WLAN正变得越来越普及,因为在这样的环境中安装以太网太麻烦。此外,在其他一些地方,例如老式的办公楼、名胜古迹、会议室、大学校园等,WLAN也很普及,为用户提供多媒体业务。

WMAN和WWAN用于广域系统中,目前常用的蜂窝系统所使用的无线网络就是这两种系统的例子。与WLAN相比,WMAN和WWAN覆盖的范围更大,传输速率却要低一些。图7.3显示了WWAN的结构形式。

WWAN经历了三代革新。第一代是模拟的,只能传送语音信息;第二代是数字的,也只能传送语音信息,但是能够容纳更多的用户;第三代是数字的,不仅可以传输语音信息,还可以传送数据信息。未来的WWAN被称为第四代移动通信系统(4G),它将是不同网络之间的相互融合,这是一个崭新的概念。4G尽可能将各种类型的网络融合起来,在一个通用的网络平台上提供多种业务。图7.4显示了一种未来第四代移动通信系统的网络结构形式。从图中可以看出在第四代移动通信系统中,从无线广域的、城域的、局域的、个域的设备,到太空中游弋的卫星,再到嵌入在身体内的医疗传感器,都可以接至IP核心网络中,从而使得各系统之间可以有效地进行互联互通以及为用户提供所需的各类业务和应用。

66.无线网络与有线网络相比具有什么优势?

与有线网络相比,无线网络技术的优势主要体现在以下三个方面。

(1)为用户提供更好的移动性、灵活性和扩展性

有线网络的扩展性比较弱,假设一个单位原来使用64kbps的拨号线路上网,如果网络需要扩容,必须使用新的网络电缆,更换原有电缆有时甚至需要破墙破路;而无线网络的扩展性就比较强,如果要增加新用户,只要在原来网络基础上简单地增加或更换一些无线接入设备即可。

(2)在难以重新布线的区域,无线网络能够提供快速且经济有效的网络接入

在一些名胜古迹、历史建筑中,为了避免建筑物遭到破坏,用户无法进行有线网络的布线,但使用无线局域网的接入方式可以避免这种情况的发生。此外,由于无线网卡使用和携带都十分方便,不需要通过网线连接到网络中,不必受到空间的限制,从而可为用户提供快速和有效的接入。

(3)降低了设置和维护费用

与有线网络相比,无线网络的布线成本和劳动强度较低。虽然无线设备成本较高,但网络本身组建、维护和升级的费用都比较低,所以只需一次投入就可解决所有的问题。此外,无线网络的布线费用与有线网络相比更加便宜,用户搬家或更换上网地点时也不会损失布线费用,只需将无线接入点拆走,就带走了所有网络部件。

67.无线网络有哪些常用的标准?

目前无线网络常用标准如图7.5所示,按照覆盖范围的大小,从WPAN一直到WWAN,每种无线网络类型中都有属于自己的标准。一般来说,这些无线网络都是针对某一特定市场、某一类型用户群或某一类特定的服务而设计和发展起来的。

这些种类繁多的无线网络为用户在带宽、覆盖范围、服务质量保证、费用等方面提供了多样化的选择。通过比较分析可以看出,各种无线网络标准都是根据不同的使用场合,不同的用户需求而制定的。因此,用户应视实际需求选择适合自己的标准。

68.什么是蓝牙?什么是WiFi?

蓝牙是一种短距离、低成本的无线电技术,属于无线个域网。

它是由爱立信、IBM等5家公司在1998年联合推出的一项技术。

利用该技术能够使用户的笔记本电脑、手机等移动设备之间的通信变得更加有效和便捷,同时用户通过蓝牙技术可以与因特网进行通信,从而使用户设备的用途得到了进一步的扩展。目前,蓝牙技术已经在全世界得到了广泛应用,利用蓝牙开发的移动设备层出不穷。它让这些移动设备之间不必借助有线电缆就能相互联网,从而使数据传输变得更加快捷有效。图7.6和图7.7分别显示了使用蓝牙技术开发的耳机和PC卡。

WiFi即无线保真(WirelessFidelity),是另一种应用广泛的无线技术,主要用来构建无线局域网。在WiFi覆盖的区域内,电子设备通过无线网卡连接在线的接入点(AP),就可以访问互联网。

相较于蓝牙技术,WiFi的数据安全性和通信质量要差一些,但是它成本低,覆盖范围大,传输速度快。该技术广泛应用在车站、码头、学校、咖啡店、图书馆等人员密集区域,在“无线城市”等大型项目中也被广泛使用。

69.无线网络有哪些组网方式?

无线网络的组网方式一般分为基础架构模式(Infrastructure)和自组织模式(Adhoc)。

基础架构模式是指无线设备通过基站或接入点互连的工作模式。在这种情况下,所有的通信都经过基站或接入点。在无线网络中,WLAN、WMAN和WWAN一般都采用基础架构模式的组网方式。而在自组织模式中,无线设备相互之间可以直接发送数据,这样就可以不必使用基站或接入点,由此构成一种特殊的无线网络应用模式。WPAN通常采用这种组网方式。图7.8显示了无线网络的两种组网方式。

70.什么是无线网卡?

无线网卡是用户计算机接入无线网络的硬件终端设备。在无线网络的覆盖下,用户计算机可以通过无线网卡以无线的方式连接到基站或接入点上网。

根据接口类型的不同,无线网卡主要分为三种类型:

(1)PCMCIA无线网卡

PCMCIA无线网卡仅适用于笔记本电脑,支持热插拔。

(2)PCI无线网卡

PCI无线网卡仅适用于普通的台式计算机,不支持热插拔。

(3)USB无线网卡

USB无线网卡不仅适用于笔记本电脑,也同样适用于台式计算机,并且支持热插拔。

71.无线网络的安全威胁主要有哪些?

有线网络和无线网络的主要差异在于网络终点之间未受控制的覆盖区域。在当前的无线网络技术中,几乎没有提供控制覆盖区域的手段和方法,这使得位于无线网络附近的攻击者可以执行一些在传统有线网络中所没有发现的攻击。目前无线网络所面临的安全威胁主要包括三种形式(图7.10):

①传输的物理手段是无线介质,容易遭到通信干扰和攻击。

②使用的是公用无线频段,容易遭到网络窃听或被篡改数据。

③企业集体无安全意识。

72.如何减少无线网络的风险?

为了减少无线网络中存在的风险,需要用户提高六个方面的安全意识。

(1)加密数据

可以采用WEP(有线对等加密)协议和WPA(WiFi保护接入)协议对无线网络上的数据信息进行加密。通过对这些信息的加密,阻止任何能够访问你所在无线网络的用户查看或篡改你的数据。

(2)定期维护和升级杀毒软件

通过定期维护和升级杀毒软件,能够减少攻击者通过计算机病毒感染你的无线网络和计算机而造成的损失。此外,还可以利用一些杀毒软件中额外的安全功能来防御或者检测木马程序。

(3)限制网络的接入

为了防止非法用户访问你的无线网络,需要限制他们的接入活动。可以采用限制网络接入的方式,仅允许获得批准的用户访问。这样便可以通过过滤每个网络设备中的MAC(媒体访问控制)地址来限制或者允许用户访问你的网络。此外,还可以使用身份认证和识别技术进一步加强无线网络的安全性能。

(4)修改默认的口令

无线网络中的大多数网络设备都有预先设置的默认口令以方便用户进行设置。这些默认的口令很容易在网络上找到,从而不能提供任何安全保护。因此,用户必须修改这些默认的口令,防止网络受到非法用户的攻击。

(5)安装防火墙

通常需在无线网络所在的进出口上安装防火墙来保护网络的安全,这是一个很好的做法,但是,为了进一步加强你所在计算机的安全,可以在你的计算机上再安装一面防火墙以增添第二层保护措施。

(6)保护SSID(服务集标识符)

为了避免外部人员很容易地访问你的无线网络,你需要隐藏无线网络的SSID。你可以通过修改用户文件中默认的SSID,从而使得它变得更难以猜测。

73.无线网络安全实施有哪些技术规范?

不同的无线网络类型具有不同的安全实施技术规范,下面主要介绍在无线局域网中采用的五种安全实施技术规范。

(1)有线对等加密(WEP,WiredEquivalencyPrivacy)根据IEEE(电子电气工程师协会)802.11标准“有线对等加密”(WEP)协议,无线数据在空中传输时,为了保护数据,使用对称加密技术。WEP提供了40位和128位长度的密钥机制,但是它仍然存在许多缺陷,而且40位的密钥很容易被破解。为了提高安全性,目前建议采用128位密钥。

(2)WiFi保护接入(WPA,WiFiProtectedAccess)WPA是一种完整的WLAN安全性方案,它既继承了WEP的基本原理,又解决了WEP中存在的一些缺点,从而大大增强了现有和未来WLAN的数据保护和访问控制水平。WPA加强了生成加密密钥的算法,还追加了防止数据中途被篡改的功能和认证功能。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。

(3)媒体访问控制(MAC,MediaAccessControl)地址过滤默认情况下,无线网络上的每张无线网卡都有一个不重复的地址,它用于标识无线网卡,这就是所谓的MAC地址。由于MAC地址具有唯一性,因此可以在接入点(AP)中进行设置,只允许特定的无线网卡连接它,从而实现MAC地址过滤。目前这种方式都是手工操作,它的可扩展性比较差,因此适合小型无线网络。

(4)服务集标识符(SSID,ServiceSetIdentifier)SSID最多可以有32个字符。可以认为SSID是一个简单的口令,这也是保证无线网络安全的重要措施之一。简单地说,SSID就是一个无线网络的名称,配备无线网卡的电脑必须填写正确的SSID,并与AP的SSID相同,才能访问AP。如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区或工作组上网,这样就可以允许不同群组的用户接入并对资源访问的权限进行区别限制,由此实现了一定的安全性。

(5)WLAN鉴别与保密基础结构(WAPI,WLANAuthenticationandPrivacyInfrastructure)WAPI是我国研发的拥有自主知识产权的无线局域网安全技术标准。WAPI针对WEP协议的安全问题,在中国无线局域网国家标准(GB15629.11)中提出WLAN安全解决方案。WAPI已获得国际标准化组织的认可,它与WEP最大的区别是所使用的安全加密技术不同。WAPI采用基于公钥密码体系的证书机制,真正实现了移动终端与无线接入点间双向鉴别,让用户的笔记本电脑在使用WLAN时变得更加安全。